국내 최대 전자상거래 플랫폼 쿠팡(Coupang)의 개인정보 대량유출 사태가 단순한 보안사고를 넘어 한·미 통상외교 현안으로 비화하고 있다. 3370만 명이라는 전례 없는 규모의 정보유출에 더해, 기업의 독자적 증거 확보 과정과 정부 조사 결과 발표 전 일방적 해명이 외교적 파장을 불러일으키고 있다.
쿠팡은 지난 6월 24일부터 11월 18일까지 약 5개월간 해외 서버를 경유한 비정상적 접근을 탐지하지 못했다. 당초 11월 20일 경찰청과 한국인터넷진흥원(KISA), 개인정보보호위원회에 4500개 계정 노출로 신고했으나, 11월 29일 피해 규모를 3370만 건으로 정정 발표하면서 사태의 심각성이 드러났다.
문제는 유출 규모뿐만 아니라 유출된 정보의 민감성이다. 이름과 주소, 전화번호는 물론 아파트 공동현관 비밀번호까지 포함돼 있어 주거 안전을 직접적으로 위협하고 있다. 쿠팡 측은 약 3000개 계정에서 2609개의 공동현관 비밀번호가 저장됐다고 밝혔으나, 전체 유출 규모를 감안하면 실제 위험은 훨씬 광범위하다는 지적이다.
특히 유출자가 중국 국적의 전직 직원으로 추정되고 데이터가 중국 서버를 경유했다는 점은 국가 안보 차원의 우려를 낳고 있다. 중국의 국가정보법이 자국민과 조직에 정보 협조를 의무화하고 있어, 3370만 명의 상세 정보가 잠재적 위협이 될 수 있다는 분석이다.
사태는 12월 25일 쿠팡의 돌발 발표로 새 국면을 맞았다. 쿠팡은 범행에 사용된 노트북을 하천에서 회수하고 데이터를 전량 확보했다며 외부 유출이 없다고 주장했다. 유출자가 맥북 에어에 정보를 저장했다가 심리적 압박으로 기기를 파손해 하천에 버렸고, 쿠팡이 민간 잠수부를 고용해 이를 회수했다는 것이다.
그러나 과학기술정보통신부는 즉각 강력히 반발했다. 민관합동조사단의 검증 없이 기업이 독자적으로 조사 결과를 발표한 것은 부적절하며, 증거의 무결성을 훼손할 수 있다는 이유에서다. 배경훈 과기정통부 장관은 11월 30일 긴급 대책회의를 주재하며 쿠팡 측에 '노출'이 아닌 '유출'로 용어를 정정할 것을 요구한 바 있다.
법조계에서는 쿠팡의 행위가 형사사법 체계를 우회한 것이라는 비판이 제기된다. 수사권이 없는 민간 기업이 피의자를 접촉해 자백을 받고 증거물을 확보한 과정은 증거의 법적 효력을 약화시킬 수 있다. 형사소송법상 디지털 증거는 수집부터 분석까지 전 과정이 투명하게 관리돼야 하는데, 수사관 입회 없이 민간이 확보한 증거는 법정에서 배척될 가능성이 높다.
환경법 위반 문제도 부각되고 있다. 노트북에 내장된 리튬 이온 배터리가 수중에서 파손되면 불산 등 유해 화합물과 중금속 오염을 유발할 수 있다. 쿠팡이 이를 인지하고도 환경 당국에 즉시 신고하지 않고 자체 회수한 것은 폐기물관리법과 물환경보전법 위반 소지가 있다는 지적이다.
국제적으로는 미국에서 주주 집단소송이 제기됐다. 주주 조셉 배리(Joseph Barry) 등은 12월 18일 캘리포니아 북부연방법원에 소송을 제기하며, 쿠팡이 침해 사실을 인지하고도 미국 증권거래위원회(SEC) 공시를 28일이나 지연한 것은 증권 사기에 해당한다고 주장했다. SEC는 2023년부터 중대한 사이버 보안 사고 발생 시 영업일 기준 4일 이내 공시를 의무화하고 있다.
더 큰 외교적 파장은 한·미 통상 마찰 가능성이다. 쿠팡이 미국 델라웨어주에 본사를 둔 뉴욕증권거래소 상장 기업이라는 점에서, 한국 정부의 규제가 미국 기업 차별로 비칠 수 있다. 실제로 미국 무역대표부(USTR)는 예정된 한·미 자유무역협정(FTA) 공동위원회 회의를 전격 취소했으며, 트럼프 행정부의 전 국가안보보좌관 로버트 오브라이언(Robert O'Brien)은 소셜미디어를 통해 한국 국회와 공정거래위원회의 쿠팡 조사를 "미국 기업에 대한 공격"이라고 규정했다.
한국 정부는 난처한 입장에 놓였다. 국민 보호를 위해서는 강력한 제재가 필요하지만, 이것이 한·미 통상 마찰로 이어질 경우 더 큰 외교적 부담이 될 수 있기 때문이다. 개인정보보호법상 쿠팡은 연 매출액 38조 원의 3퍼센트인 최대 1조1400억 원의 과징금에 처해질 수 있으나, 실제 부과액은 수천억 원대가 될 것으로 전망된다.
법무법인 지향의 김묘희 변호사는 "미성년자 정보 유출의 경우 기업의 관리 책임이 성인 대상보다 훨씬 엄격하게 평가돼야 한다"며 "아동의 프라이버시권 침해는 유엔아동권리협약 등 국제 규범 위반"이라고 지적했다. 유출된 데이터에 상당수 미성년자 정보가 포함됐을 것으로 추정되며, 이는 유괴나 그루밍 성범죄에 악용될 위험이 있다.
소비자들 사이에서는 '탈팡' 운동이 확산되고 있다. 쿠팡의 하루 이용자 수는 1400만 명대로 급감했으며, 온라인 커뮤니티를 중심으로 회원 탈퇴 인증이 이어지고 있다. 소비자들은 정보 유출 자체보다 5개월간 이를 모르고 있었고 사후 대응도 미흡했다는 점에 더 큰 분노를 느끼고 있다.
전문가들은 이번 사태가 기술적 보안 실패를 넘어 기업 윤리의 실종을 보여준다고 비판한다. 퇴사한 직원의 서명 키와 API 접근 권한을 회수하지 않은 것은 기본적인 보안 수칙 위반이다. 보안 전문가들은 퇴사 시 접근 권한을 즉시 회수하고 암호화 키를 갱신하는 것이 필수라고 강조한다.
정부는 데이터 주권 확보와 통상 마찰 회피라는 두 마리 토끼를 잡아야 하는 과제에 직면했다. 외교 전문가들은 쿠팡 제재가 유럽연합(EU)의 일반 데이터 보호 규정(GDPR) 등 글로벌 기준에 부합하는 보편적 소비자 보호 조치임을 미국 측에 설득해야 한다고 조언한다. 또한 초국경 사이버 범죄 공조 체계를 강화하고, 부다페스트 협약 가입을 가속화해야 한다는 목소리도 나온다.
이번 사태는 디지털 플랫폼의 비대화가 초래한 거버넌스 실패이자, 데이터 국경 간 이동이 야기하는 사법적 관할권 충돌을 보여주는 상징적 사건이다. 3370만 명의 데이터가 다크웹 어딘가에서 거래되고 있을 가능성을 배제할 수 없는 지금, 기업의 일방적 주장이 아닌 정부와 시민 사회의 지속적 감시가 필요하다는 지적이다.
#쿠팡개인정보유출 #한미통상마찰 #데이터주권 #디지털안보 #개인정보보호법